Merge "WebView: note deprecation of onscreen zoom controls." into qt-dev

Prevent system uid component from running in an isolated app process

Bug: 140055304
Test: Manual
Change-Id: I5a1618fab529cb0300d4a8e9c7762ee218ca09eb
Merged-In: I5a1618fab529cb0300d4a8e9c7762ee218ca09eb

Merge "Clarify CookieManager RFC reference." into qt-dev

WebView: clarify docs for onShowCustomView

No change to logic, only docs.

This clarifies the docs for onShowCustomView. This @links to
FLAG_FULLSCREEN, reminds the developer they must override both
onShowCustomView and onHideCustomView, and provides guidance for
CustomViewCallback.

Bug: 143247282
Test: make -j4 docs
Change-Id: I64de3723674da5c138438921cc8232c4bf2a3d98

WebView: note deprecation of onscreen zoom controls.

Inform developers that having onscreen zoom controls is deprecated and
that it's therefore not recommended to enable them in WebView, with
reference to ZoomButtonsController (which is what WebView uses to
implement them).

Bug: 141732094
Test: make ds-docs
Change-Id: I134551b87d3a93072e28aef56667507214b3e9c4

Merge "[DO NOT MERGE] Split access-media-storage from read-external-storage" into qt-dev

[DO NOT MERGE] Split access-media-storage from read-external-storage

And also pre-grant it to all apps that currently get any storage
permission pre-granted

Test: atest SplitPermissionTest
      m -j gts && gts-tradefed run commandAndExit gts-dev -m GtsPermissionTestCases --test=com.google.android.permission.gts.DefaultPermissionGrantPolicyTest#testDefaultGrantsWithRemoteExceptions
      Manual testing:
         All combinations of
           - App targetSdk = 28 and 29 (and 22 for extra credit)
           - App having the <uses-permission> tag for
             ACCESS_MEDIA_LOCATION or not
           - Upgrade from P->Q-QPR and from vanilla Q->Q-QPR
         Further upgrade of targetSdk from 28->29 while on Q-QPR
         ==> All permission behavior should make sense. Sometimes there
             are weird, but expected behaviors. Hence we need to
             collect the results and then look at the unexpected ones.
             See SplitPermissionTest for some tests I added for the
             location-background permission which was split from
             the fine/coarse-location permissions
Fixes: 141048840,140961754
Change-Id: Ib9f50d25c002036f13cf2d42fc4d1b214f20920c
(cherry picked from commit ac7b10c135bb148edcad1aad8e19c733d333f769)

Fix zen alarms only mode check

Also fixes setting the consolidated zen policy logging.

Fixes: 140329813
Test: android.app.cts.NotificationManagerTest#testTotalSilenceOnlyMuteStreams
Test: android.app.cts.NotificationManagerTest#testAlarmsOnlyMuteStreams
Change-Id: I43d503ac23d7b0b141930d77cb76f1f589b22525
(cherry picked from commit dcc5cfc56111676d687c8c29d1ceb6914dc1d8ce)

Merge "docs: App doesn't receive "first launch" broadcast" into qt-dev

Merge "docs: Added consent notice re. getAccounts()" into qt-dev

Clarify CookieManager RFC reference.

RFC2109 has been obsolete for a long time, and the docs aren't very
clear what exactly the RFC has to do with CookieManager; the RFC is
about HTTP and it's not immediately clear how this would apply to a Java
API.

Update the reference to the current cookie spec (and hyperlink it), and
clarify the text to explain that the HTTP header formats from the RFC
are the formats used to get/set set cookies.

Fixes: 143086151
Test: make ds-docs
Change-Id: I5e5838d3435b74516847b63e485fdd93810284aa

docs: Added consent notice re. getAccounts()

Test: make ds-docs -j32

Bug: 32704758
Change-Id: Id5e5c00840f2bde6c31a4f95f365b8bc8857884d

[automerger skipped] Merge "RESTRICT AUTOMERGE Revive runLimit check logic" into oc-mr1-dev am: 9f7fb87dc4 -s ours
am: aa76cf3da5 -s ours
am skip reason: subject contains skip directive

Change-Id: I1681d85652afe4fb20fa3d76f2f9483303e3d429

[automerger skipped] Merge "RESTRICT AUTOMERGE Revive runLimit check logic" into pi-dev
am: d7f6ede261 -s ours
am skip reason: subject contains skip directive

Change-Id: I1f761fe6c5336996407892ebae25eb34a8d83538

[automerger skipped] RESTRICT AUTOMERGE Revive runLimit check logic am: b730f1984f am: 2af4f537ff am: 709e9e6855 -s ours
am: 37c65a3e5c -s ours
am skip reason: subject contains skip directive

Change-Id: Id5cce5424c5e712de76143a301e26e823d3df249

[automerger skipped] Merge "RESTRICT AUTOMERGE Revive runLimit check logic" into oc-mr1-dev
am: 9f7fb87dc4 -s ours
am skip reason: subject contains skip directive

Change-Id: If95365aeca3f84f75f571dcf705f477b01425a0c

Merge "RESTRICT AUTOMERGE Revive runLimit check logic" into pi-dev

Merge "RESTRICT AUTOMERGE Revive runLimit check logic" into oc-mr1-dev

[automerger skipped] RESTRICT AUTOMERGE Revive runLimit check logic am: b730f1984f am: 2af4f537ff
am: 709e9e6855 -s ours
am skip reason: subject contains skip directive

Change-Id: Ib2c5674e2cf4442fe10d3dd5eb7ae7906e432254

RESTRICT AUTOMERGE Revive runLimit check logic am: b730f1984f
am: 2af4f537ff

Change-Id: Ia671d3f5a7fa62c80dd3c2468d199ce66fe734f1

RESTRICT AUTOMERGE Revive runLimit check logic
am: b730f1984f

Change-Id: I329515d36c12ee5e12a63262ff7db8daff350832

RESTRICT AUTOMERGE
Revive runLimit check logic

The runLimit check logic was accidentally removed by
I7089ed9b711dddd7de2b27c9c2fa0fb4cb53a735

Bug: 142134328
Bug: 140632678
Test: Manually done with reported step
Test: StaticLayoutTest passes
Change-Id: Ib1d5efdcb9adcc18a6a43370dc016ea464f48148

RESTRICT AUTOMERGE
Revive runLimit check logic

The runLimit check logic was accidentally removed by
I7089ed9b711dddd7de2b27c9c2fa0fb4cb53a735

Bug: 142134328
Bug: 140632678
Test: Manually done with reported step
Test: StaticLayoutTest passes
Change-Id: Ib1d5efdcb9adcc18a6a43370dc016ea464f48148

RESTRICT AUTOMERGE
Revive runLimit check logic

The runLimit check logic was accidentally removed by
I7089ed9b711dddd7de2b27c9c2fa0fb4cb53a735

Bug: 142134328
Bug: 140632678
Test: Manually done with reported step
Test: StaticLayoutTest passes
Change-Id: Ib1d5efdcb9adcc18a6a43370dc016ea464f48148

docs: App doesn't receive "first launch" broadcast

Test: make ds-docs -j32

Bug: 116543817
Change-Id: I9aa1f1851ce236397ad2e1a36ea487b96daa55c5

Merge "docs: Updated SECURITY_PATCH field description" into qt-dev

[automerger skipped] Force FGS notifications to show for a minimum time
am: 3b8c4743f6 -s ours
am skip reason: change_id I0680034ed9315aa2c05282524d48faaed066ebd0 with SHA1 5136eefeb3 is in history

Change-Id: I5ad32c66fa4502e232b802241789977252ddec8e

Merge "Force FGS notifications to show for a minimum time" into qt-dev

Merge "add java_api_finder plugin to mainline module Media to generate java APIs used by Media." into qt-dev

Merge "docs: Edited sharedUserId deprecation message" into qt-dev

Force FGS notifications to show for a minimum time

It's possible for a service to do a start/stop foreground and cause a
couple of things to happen:

NotificationManagerService will enqueue a EnqueueNotificationRunnable,
post a PostNotificationRunnable (for the startForeground), and then also
enqueue a CancelNotificationRunnable. There is some racy behavior here
in that the cancel runnable can get triggered in between enqueue and
post runnables. If the cancel happens first, then
NotificationListenerServices will never get the message.

This behavior is technically allowed, however for foreground services we
want to ensure that there is a minmum amount of time that notification
listeners are aware of the foreground service so that (for instance) the
FGS notification can be shown.

This CL does two things to mitigate this problem:

1. Introduce checking in the CancelNotificationRunnable such that it
will not cancel until after PostNotificationRunnable has finished
executing.

2. Introduce a NotificationLifetimeExtender method that will allow a
lifetime extender to manage the lifetime of a notification that has been
enqueued but not inflated yet.

Bug: 119041698
Test: atest NotificationManagerServiceTest
Test: atest ForegroundServiceNotificationListenerTest
Change-Id: I0680034ed9315aa2c05282524d48faaed066ebd0
Merged-In: I0680034ed9315aa2c05282524d48faaed066ebd0

Merge "Revert new app installed notification doc" into qt-dev

Force FGS notifications to show for a minimum time

It's possible for a service to do a start/stop foreground and cause a
couple of things to happen:

NotificationManagerService will enqueue a EnqueueNotificationRunnable,
post a PostNotificationRunnable (for the startForeground), and then also
enqueue a CancelNotificationRunnable. There is some racy behavior here
in that the cancel runnable can get triggered in between enqueue and
post runnables. If the cancel happens first, then
NotificationListenerServices will never get the message.

This behavior is technically allowed, however for foreground services we
want to ensure that there is a minmum amount of time that notification
listeners are aware of the foreground service so that (for instance) the
FGS notification can be shown.

This CL does two things to mitigate this problem:

1. Introduce checking in the CancelNotificationRunnable such that it
will not cancel until after PostNotificationRunnable has finished
executing.

2. Introduce a NotificationLifetimeExtender method that will allow a
lifetime extender to manage the lifetime of a notification that has been
enqueued but not inflated yet.

Bug: 119041698
Test: atest NotificationManagerServiceTest
Test: atest ForegroundServiceLifetimeExtenderTest
Change-Id: I0680034ed9315aa2c05282524d48faaed066ebd0
Merged-In: I0680034ed9315aa2c05282524d48faaed066ebd0

docs: Edited sharedUserId deprecation message

Test: make ds-docs -j32

Bug: 142139123
Change-Id: I3485785126f268c76f81f760fc19e0506929b272

Merge "Update PermissionChecker usages to avoid unnecessary attribution." into qt-dev

Merge "Only allow INSTALL_ALLOW_TEST from shell or root" into qt-dev

Revert new app installed notification doc

Bug: 111214100
Test: Able to compile
Change-Id: Id4fdabf0e8c69074eb8cb5838ab11d9d5f030093

add java_api_finder plugin to mainline module Media to generate java APIs used by Media.

Bug: 129294170
Test: m updatable-media RUN_ERROR_PRONE=true |& tee media_error_prone.out
Change-Id: I3cdfe5e00394c6ff7b9c857f63a5e45ac79f8d24
(cherry picked from commit 6eff1d439b472b6114bc11f3a50c70ca7c68add7)
Merged-In: I3cdfe5e00394c6ff7b9c857f63a5e45ac79f8d24

Update PermissionChecker usages to avoid unnecessary attribution.

We had accidental usages of the PermissionChecker for cases where no
private data was provided to the app but the checkPermission API on
the latter also did blame data access on the app. The PermissionChecker
was designed to handle IPC calls and not for generic API checks.

To avoid future accidental incorrect PermissionChecker usages this
change renames the existing APIs of the latter to clearly indicate
that they should be used for data delivery and also adds sibling
methods for doing the same permission checks for preflight purposes.
Also the documentation is improved to furhter assist developers.

In addition, this change fixes accidental permission checker usages
that blame when they should not by using the new preflight flavor
of the permission check APIs.

Test:
    atest com.android.settingslib.location.RecentLocationAppsTest
    atest CtsPermissionTestCases
    added: LocationAccessCheckTest#notificationOnlyForAccessesSinceFeatureWasEnabled
    added: LocationAccessCheckTest#noNotificationIfFeatureDisabled
    added: LocationAccessCheckTest#noNotificationIfBlamerNotSystemOrLocationProvider
    added: LocationAccessCheckTest#testOpeningLocationSettingsDoesNotTriggerAccess

bug:141028068
Merged-In: I65c71569d0dd8a40bc6fecabb22c5373dd6e806e
Change-Id: I65c71569d0dd8a40bc6fecabb22c5373dd6e806e

[automerger skipped] RESTRICT AUTOMERGE Do not compute outside given range in TextLine am: 4ce901e405 am: b51c7bb175 am: af62f3a7b3 -s ours
am: 86ddd9eb6a -s ours
am skip reason: subject contains skip directive

Change-Id: Ie6db3a3499cb02ef1bd34232a4ca8fb362b18e7d

[automerger skipped] RESTRICT AUTOMERGE Do not compute outside given range in TextLine am: 4ce901e405 am: b51c7bb175
am: af62f3a7b3 -s ours
am skip reason: subject contains skip directive

Change-Id: Ifb67887f4b1a5860dca2569e57a74911efde801d

RESTRICT AUTOMERGE Do not compute outside given range in TextLine am: 4ce901e405
am: b51c7bb175

Change-Id: I6770f4b1a884020c374a75f67eb762b2c2bfd538

[automerger skipped] Merge "RESTRICT AUTOMERGE Do not compute outside given range in TextLine" into pi-dev
am: e352c1f2bc -s ours
am skip reason: subject contains skip directive

Change-Id: Id51032f27a8325444290483a9a30da49da8ac2e2

RESTRICT AUTOMERGE Do not compute outside given range in TextLine
am: 4ce901e405

Change-Id: I739746d80a8dd29998a67c1d9aaa2d3f804ac57c

Merge "RESTRICT AUTOMERGE Do not compute outside given range in TextLine" into pi-dev

RESTRICT AUTOMERGE
Do not compute outside given range in TextLine

This is second attempt of I646851973b3816bf9ba32dfe26748c0345a5a081
which breaks various layout test on application.
The empty string must be also handled by the TextLine since it
retrieves the default line height from the empty string.

Bug: 140632678
Test: StaticLayoutTest
Test: Manually done
Change-Id: I7089ed9b711dddd7de2b27c9c2fa0fb4cb53a735

RESTRICT AUTOMERGE
Do not compute outside given range in TextLine

This is second attempt of I646851973b3816bf9ba32dfe26748c0345a5a081
which breaks various layout test on application.
The empty string must be also handled by the TextLine since it
retrieves the default line height from the empty string.

Bug: 140632678
Test: StaticLayoutTest
Test: Manually done
Change-Id: I7089ed9b711dddd7de2b27c9c2fa0fb4cb53a735

Merge "Use NotoSansMyanmar (pure Unicode) fonts" into qt-dev

Merge "docs: Added link to multi-window drag how-to guide" into qt-dev

Merge "Don't consider tasks with INITIALIZING top activity as visible" into qt-dev

Merge "[WebView] Minor javadoc fix for WebSettings." into qt-dev

[automerger skipped] Merge "DO NOT MERGE revoke certain app-ops on suspend" into pi-dev
am: 0e8f1fa5e9 -s ours
am skip reason: subject contains skip directive

Change-Id: I53678027aa329651d6d6c9652aee847ee36b9b30

Merge "DO NOT MERGE revoke certain app-ops on suspend" into pi-dev

Merge "DO NOT MERGE revoke certain app-ops on suspend" into qt-dev

docs: Added link to multi-window drag how-to guide

Test: make ds-docs -j32

Bug: 71008103
Change-Id: Ifcc50920cf3828697add018d1d3a6a827c7c9f98

[WebView] Minor javadoc fix for WebSettings.

No change to logic.

Test: N/A
Bug:132394762
Change-Id: I957b0d8a03cd937b38611e32f6c012b01a6ad7da

Only allow INSTALL_ALLOW_TEST from shell or root

Bug: 141169173
Test: Manual. App can't be installed as test-only
Change-Id: Ib6dcca7901aa549d620448c0165c22270a3042be

Merge "docs: Modernized AccessibilityNodeProvider example" into qt-dev

Merge "docs: List BIOMETRIC_WEAK in setPasswordQuality()" into qt-dev

Merge "docs: Fixed link to material design for ScrollView" into qt-dev

docs: Updated SECURITY_PATCH field description

Test: make ds-docs -j32

Bug: 127625306
Change-Id: I052bb647ebb36ea3c9a788be592e7de9cd969e10

docs: Fixed link to material design for ScrollView

Test: make ds-docs -j32

Bug: 141024886
Change-Id: I69d05cdf99d91f74143454c78c000128d1da42ce

Merge "Acquire display suspend blocker for DozeService" into qt-dev

Don't consider tasks with INITIALIZING top activity as visible

To fix b/130645908, tasks with top activities in INITIALIZING state were
considered visible. This allowed apps to circumvent background activity
launch restriction by starting 2 activities when in a background stack.
The first activity will remain in INITIALIZING state (since it's in the
bg), so the second launch is permitted since top activity is
INITIALIZING.

Removing '|| topActivity.isState(INITIALIZING)' removes the
vulnerability and curiously still allow the legitimate use case of the
bug linked above to work, i.e. the test in ag/7088262 still passes. This
is because of 2 reasons:
1) Grace period introduced in ag/7638265.
2) Allow bg activity starts to put activity on top of bg task (instead of
   fg’ing it) in ag/7190176.

I verified (2) by removing the grace period check, reverting the linked
CL and verifying that the test failed.

This essentially reverts ag/7090415.

Test: atest BackgroundActivityLaunchTest \
          RootWindowContainerTests \
          WmTests:ActivityStarterTests \
          CtsWindowManagerDeviceTestCases:ActivityStarterTests
Bug: 138583650
Bug: 130645908
Change-Id: Iee4ba841c6c83888b55c5cb55fffc949048d2030

Merge "docs: Add condition for hiding synth. activities" into qt-dev

Merge "Do not compute outside given range in TextLine" into qt-dev

Merge "docs: Fixed contradictory info in IntentFilter" into qt-dev

docs: Add condition for hiding synth. activities

If an app doesn't have a launcher activity enabled by default, a
synthesized activity isn't created for that app.

Test: make ds-docs -j32

Bug: 140968734
Change-Id: I2fe8666ee8cde479f404e43c622f03891d96c38f

DO NOT MERGE revoke certain app-ops on suspend

Revoking an apps authorizations to use camera and record or play audio
while suspended. Appops watchers will also be notified of this change to
re-evaluate privileges at the time of suspension.

Test: atest FrameworksServicesTests:SuspendPackagesTest
atest GtsSuspendAppsTestCases

Bug: 138636979
Change-Id: Ie95555856afdd56728125f7e60b6a78cf9fc0e58
Merged-In: Ic5fb1807deceabfd956b666fa76f8bcc94020ac3

DO NOT MERGE revoke certain app-ops on suspend

Revoking an apps authorizations to use camera and record or play audio
while suspended. Appops watchers will also be notified of this change to
re-evaluate privileges at the time of suspension.

Test: atest FrameworksServicesTests:SuspendPackagesTest

Bug: 138636979
Change-Id: Ie95555856afdd56728125f7e60b6a78cf9fc0e58
Merged-In: Ie95555856afdd56728125f7e60b6a78cf9fc0e58
Merged-In: Ic5fb1807deceabfd956b666fa76f8bcc94020ac3

Do not compute outside given range in TextLine

This is second attempt of I646851973b3816bf9ba32dfe26748c0345a5a081
which breaks various layout test on application.
The empty string must be also handled by the TextLine since it
retrieves the default line height from the empty string.

Bug: 140632678
Test: StaticLayoutTest
Test: Manually done
Change-Id: I7089ed9b711dddd7de2b27c9c2fa0fb4cb53a735

docs: Modernized AccessibilityNodeProvider example

Uses a delegate and more realistic method contents. Also added
language switcher for Kotlin-based and Java-based code.

Test: make ds-docs -j32

Bug: 138849874
Change-Id: Id31cf944f4adab2f09cf5004d68434b445da6eeb

Acquire display suspend blocker for DozeService

If DozeService explicitly requests the display state to be on,
then PowerManager needs to acquire the display suspend blocker even
while in DOZE mode to prevent the system from constantly trying
to suspend.

Bug: 138195405
Test: atest PowerManagerServiceTest
Change-Id: I05f5b86789ced084d0814480b2fe89d74f96a54e
(cherry picked from commit d9701abf0482d644551657124a315ee1e6638e85)

Use NotoSansMyanmar (pure Unicode) fonts

Revert Myanmar fonts to those on Android P.

Instead NotoSansMyanmar*-ZawDecode (Unicode-Zawgyi hybrid) fonts,
go back to NotoSansMyanmar and NotoSansMyanmarUI (pure Unicode) fonts.

Bug: 141019225
Change-Id: Ib2494b9b5cb148f598e69271c5676e7104f66ae3

Merge "Revert "don't compute outside of visible range"" into qt-dev

Revert "don't compute outside of visible range"

bug:141016653
This reverts commit 0a57fe099a55ab3a7583b229fa7cfb905d6106f3.

Reason for revert: CL is implicated in https://b.corp.google.com/issues/141016653

Change-Id: I39954226cb8971ee17e367692b3fd0e29871ad48

Merge changes from topic "bp-135269143-p" into pi-dev
am: 604d91d713

Change-Id: I4732eced6b91fd0f7a3e83197f4fcbf63b9c977d

[automerger skipped] RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter.
am: 216bbc2a2e -s ours
am skip reason: subject contains skip directive

Change-Id: I34ab810a0ce6c747236b6e0660b0f69b8e12d4a1

Merge changes from topic "bp-135269143-p" into pi-dev

* changes:
  RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter.
  RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options.

RESTRICT AUTOMERGE
Strict SQLiteQueryBuilder needs to be stricter.

Malicious callers can leak side-channel information by using
subqueries in any untrusted inputs where SQLite allows "expr" values.

This change offers setStrictGrammar() to prevent this by outright
blocking subqueries in WHERE and HAVING clauses, and by requiring
that GROUP BY and ORDER BY clauses be composed only of valid columns.

This change also offers setStrictColumns() to require that all
untrusted column names are valid, such as those in ContentValues.

Relaxes to always allow aggregation operators on returned columns,
since untrusted callers can always calculate these manually.

Bug: 135270103
Bug: 135269143
Test: atest android.database.sqlite.cts.SQLiteQueryBuilderTest
Test: atest FrameworksCoreTests:android.database.sqlite.SQLiteTokenizerTest
Exempt-From-Owner-Approval: already approved in downstream branch
Change-Id: I6290afd19c966a8bdca71c377c88210d921a9f25

[automerger skipped] Merge "RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options." into oc-dev am: f8a2d069b4 am: f6aa7b8d8f am: 8acb456949 -s ours
am: fd58ea607e -s ours
am skip reason: subject contains skip directive

Change-Id: I046483ec092ef5b4bbc9f736184d328f954974c7

[automerger skipped] RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options. am: f683c688d5 am: fc095efde0 am: e89348b54b -s ours
am: 01787e9e4d -s ours
am skip reason: subject contains skip directive

Change-Id: I412ec10b29cb494e473bbfe8f50385676f50a00c

[automerger skipped] Merge "RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter." into oc-dev am: 7633a081ab am: b0054f0518 am: c97dfb57a8 -s ours
am: 40a236db41 -s ours
am skip reason: subject contains skip directive

Change-Id: Ia508b84e09af199cd841d37c89a41c722d63a101

[automerger skipped] RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter. am: 92e5e5e45c am: 37e2229257 am: bba6744ff4 -s ours
am: 2ccbb35723 -s ours
am skip reason: subject contains skip directive

Change-Id: Ib655f9d604bfecbd6be64b1e4cfe9996a58fcbaa

[automerger skipped] Merge "RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options." into oc-dev am: f8a2d069b4 am: f6aa7b8d8f
am: 8acb456949 -s ours
am skip reason: subject contains skip directive

Change-Id: Id9934307cef63a331bb1fad3ba4fddee11393d98

[automerger skipped] RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options. am: f683c688d5 am: fc095efde0
am: e89348b54b -s ours
am skip reason: subject contains skip directive

Change-Id: I80528a71e90049489b85b5c95baf93cbd3a17808

[automerger skipped] Merge "RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter." into oc-dev am: 7633a081ab am: b0054f0518
am: c97dfb57a8 -s ours
am skip reason: subject contains skip directive

Change-Id: I6467326680d2164bb4e2a9e54dc22cc490e2492d

[automerger skipped] RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter. am: 92e5e5e45c am: 37e2229257
am: bba6744ff4 -s ours
am skip reason: subject contains skip directive

Change-Id: I8711dac1ad4d2512d64dc489d87ffd4a18c0ebd6

Merge "RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options." into oc-dev am: f8a2d069b4
am: f6aa7b8d8f

Change-Id: I466630af8385d6da164196f2420d040b2aa6e2ac

RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options. am: f683c688d5
am: fc095efde0

Change-Id: I9bbeb106c1abe977439420d8005f33f5a7c1eaa1

Merge "RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter." into oc-dev am: 7633a081ab
am: b0054f0518

Change-Id: I491c415de567d0375296f293fcbb35ee21413ce6

RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter. am: 92e5e5e45c
am: 37e2229257

Change-Id: I3d7696be9733e40f31c160a77505c4e96ca05b5e

Merge "RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options." into oc-dev
am: f8a2d069b4

Change-Id: If9534450fac2cd9b328f105be73f53c92ab14dbd

RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options.
am: f683c688d5

Change-Id: I64ae89ecc92127de21503fbcfdd34c60a6f620bc

Merge "RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter." into oc-dev
am: 7633a081ab

Change-Id: Ia3853da8933c8c21fe06acad79059a3589eeb835

RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter.
am: 92e5e5e45c

Change-Id: I2e0a5c5cd35f9abcf362d3db4514e1bbd6bd7035

Merge "RESTRICT AUTOMERGE Enable stricter SQLiteQueryBuilder options." into oc-dev

Merge "RESTRICT AUTOMERGE Strict SQLiteQueryBuilder needs to be stricter." into oc-dev

Merge "Add keylayout for original xbox controller" into qt-dev

RESTRICT AUTOMERGE
Enable stricter SQLiteQueryBuilder options.

Malicious callers can leak side-channel information by using
subqueries in any untrusted inputs where SQLite allows "expr" values.

This change starts using setStrictColumns() and setStrictGrammar()
on SQLiteQueryBuilder to block this class of attacks.  This means we
now need to define the projection mapping of valid columns, which
consists of both the columns defined in the public API and columns
read internally by DownloadInfo.Reader.

We're okay growing sAppReadableColumnsSet like this, since we're
relying on our trusted WHERE clause to filter away any rows that
don't belong to the calling UID.

Remove the legacy Lexer code, since we're now internally relying on
the robust and well-tested SQLiteTokenizer logic.

Bug: 135270103, 135269143
Test: cts-tradefed run cts -m CtsAppTestCases -t android.app.cts.DownloadManagerTest
Change-Id: Iec1e8ce18dc4a9564318e0473d9d3863c8c2988a